Pastaruoju metu Lietuvoje nuvilnijo virtinė kibernetinių atakų, kurios sukėlė problemų ne tik viešojo, bet ir privataus sektoriaus atstovams – kėsintasi į verslą, Saugųjį valstybinį duomenų perdavimo tinklą ir valdžios institucijas. Aiškiai pastebima tendencija, kad kibernetinių atakų tik daugėja ir jos tampa vis sudėtingesnės.
Pastaruoju metu Lietuvoje nuvilnijo virtinė kibernetinių atakų, kurios sukėlė problemų ne tik viešojo, bet ir privataus sektoriaus atstovams – kėsintasi į verslą, Saugųjį valstybinį duomenų perdavimo tinklą ir valdžios institucijas. Aiškiai pastebima tendencija, kad kibernetinių atakų tik daugėja ir jos tampa vis sudėtingesnės. Tokiems incidentams, sukeliantiems ir nemažai teisinių nemalonumų, virstant nauja kasdienybe, labai svarbu pažvelgti į galimybes patikimai apsaugoti turimus duomenis bei sumažinti galimą žalą.
Asociatyvi „Pixabay“ nuotr.
Kaip sumažinti pavojus?
Svarbu paminėti, kad su kibernetinėmis rizikomis susiduria ne tik informacinių technologijų įmonės, valstybės institucijos ar didžiosios bendrovės. Kibernetinius vagišius taip pat domina ir mažesniųjų įmonių finansiniai bei turimi vartotojų duomenys, didelio jų susidomėjimo sulaukia finansinės institucijos, gamybos įmonės, komunikacijos ir žiniasklaidos paslaugas teikiantys verslai, technologijų verslas bei profesionalias paslaugas teikiančios organizacijos.
Deja, visiškai išvengti kibernetinių atakų neįmanoma, tad verslas yra priverstas ieškoti geriausių prevencinių priemonių užkirsti kelią kibernetiniams incidentams ar galimai žalai sumažinti. Visų pirma, reikėtų turėti iš anksto parengtą veiksmų planą, kaip elgtis įvykus incidentui, kaip kontaktuoti su visuomene, klientais ir partneriais, paskirti už tai įmonėje atsakingą žmogų.
Remiantis Nacionalinio kibernetinio saugumo centro (NKSC) gairėmis, taip pat reikėtų naudoti tinkamą slaptažodžių kūrimo ir naudojimo politiką bei kelių žingsnių autentifikavimą – tuomet programišiai negali įveikti vartotojo slaptažodžio ir net žinodami jį neturi galimybės prisijungti prie duomenų be jų savininko leidimo. Panašiai veikia ir prieigos kontrolė, kai atsakingas asmuo turi suteikti galimybę pasiekti tam tikrus duomenis. Dėl geresnės duomenų apsaugos patariama įdiegti ir nuolat atnaujinti antivirusines programas, programinę įrangą, ugniasienę, HTTPS protokolą ir turėti saugų bevielį tinklą.
Dėl didesnio saugumo patariama pasidaryti ir atsargines duomenų kopijas, galbūt įrengti saugios debesijos sprendimą duomenims saugoti, šifruoti jautrius duomenis, reguliariai užsiimti papildoma duomenų nutekėjimo prevencija, reguliariu kibernetinių įsilaužimų testavimu ir užsisakyti kibernetinių incidentų draudimą. Tačiau visų svarbiausia – apmokyti darbuotojus, supažindinti su kibernetinėmis rizikomis, didinti jų atidumą, mokyti atskirti darbo ir asmeninius prietaisus, kad būtų išvengta žmogiškosios klaidos faktoriaus. Dėl jos, remiantis kompanijos „Verizon“ atlikto tyrimo duomenimis, įvyksta net 85 proc. kibernetinių incidentų.
Gali tekti atlyginti žalą
Kibernetinius incidentus patyrę verslai kartu su finansiniais praradimais gali patirti ir dažnai pamirštamą, bet verslui labai reikšmingą reputacinę žalą, kuri mažina pasitikėjimą tokiu verslu bei norą bendradarbiauti. Reputacinė žala tiesiogiai susijusi su klientų bei pardavimų skaičiaus praradimu ir pelno sumažėjimu bei gali paveikti santykius su partneriais, tiekėjais, investuotojais.
Įvykus kibernetiniam incidentui, įmonės taip pat gali susidurti su nukentėjusiųjų reikalavimais atlyginti turtinę žalą dėl turto netekimo, turėtų išlaidų, negautų pajamų, protingų išlaidų žalos prevencijai ar jos sumažinimui. Kartais kreipiamasi ir dėl įstatymais nustatomos neturtinės žalos atlyginimo, kurios dydį nustato teismas.
Gresia ir baudos
Negana to, pasekmių galima susilaukti ir dėl apie laiku nepranešto kibernetinio incidento. Priklausomai nuo tokio incidento dydžio, apie jį gali tekti pranešti ir per mažiau nei valandą. Pareiga informuoti NKSC nustatyta pirmiausiai valstybės informacinius išteklius ar ypatingos svarbos informacinę infrastruktūrą valdantiems ar tvarkantiems subjektams, viešųjų ryšių tinklų ar viešųjų elektroninių ryšių, elektroninės informacijos prieglobos ir skaitmenines paslaugas teikiantiems kibernetinio saugumo subjektams. Jei įmonei tokia prievolė pranešti apie incidentą netaikoma, vis tiek rekomenduotina tą padaryti, nes NKSC atsakomybės už patirtą incidentą netaiko, o priešingai – konsultuoja ir padeda suvaldyti situaciją.
Tačiau labai dažnai kibernetinė ataka įvykdoma kartu su asmens duomenų pažeidimu. Tokiu atveju nukentėjusi įmonė ne vėliau nei per 72 valandas turi informuoti Valstybinę duomenų apsaugos inspekciją, o kartais – ir pačius nukentėjusius asmenis. Nepranešus apie tokį incidentą, įmonei gali grėsti 20 mln. eurų bauda arba iki 4 proc. jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos. Tai priklauso nuo to, kuri suma yra didesnė. Taip pat informacijos neteikimas ir institucijų nurodymų nevykdymas gali užtraukti baudą iki 1950 eurų.
Komentuoja teisės firmos „Sorainen“ ekspertė Irma Kirklytė
